第一篇:移动银行系统安全测评内容
移动银行系统安全测评主要从管理安全测评、业务安全测评和技术安全测评三方面开展。
1)管理安全测评
安全管理措施与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。评估内容主要涉及以下几个方面:
安全策略;
内控制度建设;
风险管理状况;
电子银行业务运行连续性计划;
电子银行业务运行应急计划;
电子银行风险预警体系;
电子银行系统运行管理。
2)业务安全测评
业务安全测评主要测试关注从业务申请开通、业务运行到交易处理过程中的安全措施,包括业务申请开通、业务安全交易机制、客户教育及权益保护等方面。可以从下面几方面进行评估:
业务申请及开通;
业务安全交易机制;
客户教育及权益保护。
3)技术安全测评
因系统托管在城市商业银行资金清算中心,所以技术安全测评主要内容为客户端安全和专用安全设备安全,不包含服务器端安全。
客户端安全;
专用安全设备安全;
第二篇:移动银行
上海天畅信息技术有限公司
www.xiexiebang.com
移动银行
一、方案背景
随着移动互联网的发展与智能终端的迅速普及,移动信息化技术日趋成熟,为银行业务发展与管理决策开辟了一条新的思路。智能终端为客户经理提供了更为方便、易用的业务处理和信息展示平台,相比于传统的笔记本电脑,智能终端更容易携带、可随时联网、具有更好的用户体验等,同时其丰富的应用扩展能力,以及对于外设接入的友好性,使得将业务办理带出固定网点走到客户身边成为可能。移动信息化的浪潮并不是简单的技术和渠道的革新,而是正在颠覆银行传统经营模式的全新的业态。
传统银行的营业网点业务受地点和受理方式的限制,如何为客户提供更优质、精准、快速的服务也日益受到银行企业的关注。银行产品的直销业务存在申请受理环节多、周期长、成本难控制、直销团队难管理、信息安全风险大、信息采集不准确等诸多问题,如何在激烈的市场竞争中克服这些困难也成为令管理者亟待解决的问题。
天畅信息的Push Win智能营销系统为一线的营销人员提供了一个更加灵活、快速且易于使用的信息系统,使银行营销人员可以在任何时间、任何地点为用户处理多种金融业务,而且极大的丰富了银行服务的内涵,使银行能以便利、高效而又安全的方式为客户提供更多传统和创新的服务。
二、应用场景分析
以对私VIP上门服务为例 上海天畅信息技术有限公司
www.xiexiebang.com
三、核心功能
Push Win银行解决方案为银行提供移动化一站式办理各类银行业务的服务系统,实现个人开卡、理财产品和基金产品的销售、电子银行签约、第三方存管签约等业务的移动化办理与管控,同时使用平板电脑进行日常办公的工作处理与审批,协助人员完成移动办公事务。为了保证平台可靠、安全、稳定的运行,平台需具备严格的身份认证管理;同时为了实现业务的规范化分配、监控与管理以及资源的安全使用,平台需提供统一的服务管理与资源管理。Push Win核心功能: 3.1借记卡
借助二代身份证读卡器验证和采集客户信息,通过密码键盘解决首次密码设置问题,支持现场审核和后台审批两种方式,客户信息实时传至核心系统,卡片现场开通。3.2电子银行签约
现场开通短信、网上银行、电话银行等渠道。3.3信用卡
由现场销售人员借助智能终端终端,利用蓝牙便携式打印机、二代身份证读写器等设备,帮助用户进行信息录入,进而完成信用卡申请、开卡、上门催收、商户拓展等业务。3.4大堂经理
主要实现对排队机的移动端管理,附带如计算器、行情分析及客户管理管理等功能。上海天畅信息技术有限公司
www.xiexiebang.com
3.5产品宣传
在移动客户端上展示产品视频或相关文字介绍,有利于客户经理随时随地实现对客户的产品展示和宣传。3.6小微贷款
在移动端上实现小微贷款客户的信息审核和协议签署。3.7远程销售
对于基金、理财产品等实现随时随地的展示。3.8人员管理
可远程共享知识库、考试等信息,移动终端上实现考勤、绩效管理等。
四、解决方案
4.1 总体架构
Push Win移动智能营销系统整合了天畅信息NAZA移动应用开发平台和ZIYA企业移动管理平台,打造一个具有弹性的移动平台以应对移动化浪潮,是适用于银行的移动应用创新解决方案。通过移动平台实现多业务的交叉使用,根据业务需求,快速迭代,展现灵活的扩展能力,使银行的营销服务能力和业务管理水平再上一个台阶。系统由移动终端、移动平台、后台应用三个部分组成。上海天畅信息技术有限公司
www.xiexiebang.com
4.2系统特点
确保最高的安全性-从系统架构、业务机制、数据安全处理和设备管控等多方面保证安全,保证行业规定。
高效的管理平台-通过ZIYA企业移动管理平台对移动终端设备进行高效管理,并通过定制化的程序流程实现对业务人员业务受理行为的管理功能。4.3最高的安全性
Push win的系统架构非常安全,从各个环节注重信息安全 ·建议使用安全的VPDN无线网络 ·采用SSL隧道加密技术
·对传输的数据进行3DES数据加密技术 ·数据在终端加密存储
·对业务流程进行严格控制,防止客户信息外泄 ·通过对移动终端设备的管控杜绝不安全行为的发生 4.4集中管控
·基于ZIYA设备的管控为IT部门提供高效集中的管理 ·全面的访问控制 上海天畅信息技术有限公司
www.xiexiebang.com
·设备策略发布 ·应用程序远程安装 ·资产管理
天畅公司简介
上海天畅信息技术有限公司(简称天畅信息)成立于2003年,是国内领先的企业级移动应用解决方案供应商,长期致力于移动数据行业应用领域信息平台建设、IT系统建设、移动应用建设,集产品研发、技术创新、信息服务为一体的国家高新技术企业。公司总部在上海,目前在北京、江苏、广东、山东等地设有分支机构。
天畅信息非常注重技术研发和应用,公司超过70%的员工为技术人员,分别来自上海交大、华东理工、南京邮电等著名高校。我们在上海和南京都设有软件开发中心,可以为行业客户提供优质技术支持。
天畅信息获得由国家认证的“高新技术企业”。超过50件版权权或专利。2012年,天畅信息获得时空五星基金的资金注入,成为东方资产平台下的专业企业移动互联技术公司。
第三篇:上海市公共信息系统安全测评管理办法(范文模版)
上海市公共信息系统安全测评管理办法
(2006年5月7日上海市人民政府令第58号公布,根据2010年12月20日上海市人民政府令第52号公布的《上海市人民政府关于修改〈上海市农机事故处理暂行规定〉等148件市政府规章的决定》修正并重新发布)
第一条(立法目的)
为了规范本市公共信息系统安全测评活动,保障公共信息系统正常运行,制定本办法。
第二条(定义)
本办法所称的公共信息系统安全测评,是指依据有关信息安全标准、规范,对本市承担公共管理职能的机构(以下简称公共管理机构)以及提供社会公共服务的单位(以下简称公共服务单位)的计算机信息系统,进行安全保障性能测试、评估的活动。
第三条(适用范围)
本市行政区域内的公共信息系统安全测评及其管理活动,适用本办法。法律、法规另有规定的,从其规定。
第四条(管理部门)
上海市经济和信息化委员会(以下简称市经济信息化委)负责本市公共信息系统安全测评的组织协调和监督管理工作。
第五条(责任制度)
公共管理机构、公共服务单位的负责人应当承担开展公共信息系统安全测评的管理责任。
各有关主管部门应当督促所属的公共管理机构、公共服务单位开展公共信息系统安全测评。
第六条(测评计划)
市经济信息化委应当会同各有关主管部门,制定公共信息系统安全测评计划,组织公共管理机构、公共服务单位实施,并进行指导、监督。
第七条(新建系统的测评)
新建公共信息系统的,公共管理机构、公共服务单位应当在系统建设前将安全设计方案报送市经济信息化委审查;市经济信息化委应当在15日内提出审查意见。
新建的公共信息系统试运行结束后30日内,应当进行安全测评。
第八条(测评机构)
公共信息系统安全测评,应当由国家有关部门认可的信息安全测评机构(以下简称测评机构)实施。
公共管理机构的公共信息系统,由市经济信息化委指定的测评机构统一实施安全测评;公共服务单位的公共信息系统,由该单位委托的测评机构实施安全测评。
第九条(测评协议)
公共管理机构、公共服务单位应当与测评机构签订公共信息系统安全测评协议,明确测评的范围、内容、方案、期限、费用和违约责任等事项。
公共信息系统安全测评协议的示范文本,由市经济信息化委制定。
第十条(测评要求)
测评机构应当依据国家和本市信息技术、信息系统安全的标准、规范,实施公共信息系统安全测评,保证测评活动的客观、公正。
第十一条(安全事项告知与协助义务)
安全测评的实施过程可能影响公共信息系统正常运行的,测评机构应当事先告知公共管理机构、公共服务单位,并协助其采取相应的预防措施。
第十二条(测评报告)
测评机构实施公共信息系统安全测评后,应当出具包括以下内容的测评报告:
(一)测评范围、内容;
(二)测评所依据的相关标准、规范;
(三)系统安全的评估结论、整改建议。
测评报告应当由测评机构负责人签署。
第十三条(安全整改)
公共管理机构、公共服务单位应当根据测评报告的整改建议,对公共信息系统采取安全整改措施;测评机构应当给予协助和指导。
公共管理机构完成安全整改后15日内,应当将整改情况报送市经济信息化委备案;公共服务单位完成安全整改后15日内,应当将整改情况报送其主管部门备案。
第十四条(测评实施情况的报告)
测评机构应当每季度将实施公共信息系统安全测评的汇总情况向市经济信息化委报告;发现公共信息系统存在重大安全问题时,应当立即向市经济信息化委报告。
第十五条(动态复测)
公共信息系统安全测评后,应当每两年进行一次复测;系统的网络结构、信息处理流程等发生重大变更的,应当及时进行复测。
公共信息系统的复测应当包括以下内容:
(一)系统前次测评时发现的主要问题;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部分发生变更,可能出现的安全隐患;
(三)新的信息技术可能对系统安全造成的影响。
第十六条(测评机构的保密义务)
测评机构对公共信息系统安全测评过程中取得的技术数据、业务资料等信息负有保密义务,不得以任何方式将相关信息提供给第三方。
第十七条(测评机构的行为禁止)
禁止测评机构从事下列活动:
(一)信息安全产品开发、营销和信息系统集成活动;
(二)限定公共管理机构、公共服务单位购买、使用其指定的信息安全产品;
(三)其他可能影响测评客观、公正的活动。
第十八条(未进行测评或者整改的处理)
公共管理机构、公共服务单位未按照本办法的规定开展公共信息系统安全测评或者采取安全整改措施的,由市经济信息化委或者相关主管部门责令其改正;因未开展公共信息系统安全测评或者采取安全整改措施,导致系统发生安全故障的,依法追究有关负责人的行政责任。
第十九条(对测评机构违法行为的处理)
对测评机构违反本办法的行为,由市经济信息化委按照下列规定进行处理:
(一)违反本办法第十四条规定,未报告公共信息系统安全测评情况或者重大安全问题的,责令改正,并处1万元以下罚款;
(二)违反本办法第十六条规定,向第三方提供公共信息系统安全测评相关信息的,或者违反本办法第十七条规定,从事可能影响测评客观、公正的活动的,责令改正,并处3万元以下罚款。
第二十条(施行日期)
本办法自2006年7月1日起施行。
第四篇:电力二次系统安全等级测评研究
电力二次系统安全等级测评研究
Research the testing and evaluation for classified protection to secondary system of electric power system 摘 要: 本文在研究电力二次系统基础上,以开展安全等级测评为出发点,从管理和技术两个方面研究电力二次系统安全等级测评,管理方面重点构建项目干系人模型,技术方面重点构建电力二次系统测评标准模型和测评指标体系。
关键词:电力二次系统;安全等级测评;信息安全
1.引言
信息安全等级保护制度是国家信息安全工作的基本制度。电力是国民经济重要的基础设施之一,电力安全直接关系国计民生,一直是党和政府高度关注的重点。电力行业的信息安全同样关系着国家安全、社会秩序和公共利益,电力行业的信息系统,尤其是电力二次系统是重点保护对象。
本文在研究电力二次系统基础上,以开展安全等级测评为出发点,从管理和技术两个方面研究电力二次系统安全等级测评,管理方面重点构建项目干系人模型,技术方面重点构建测评标准模型和建立电力二次系统测评指标体系。
2.电力二次系统
电力二次系统,包括电力监控系统、电力通信及数据网络等。电力监控系统,是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。电力调度数据网络,是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。
电力行业的特点决定了电力信息安全不仅具有一般计算机信息网络信息安全的特征,而且还具有电力实时运行控制系统信息安全的特征。电力行业信息安全等级保护对象主要包括各电网企业、供电企业、6000千瓦以上(含6000千瓦)统调发电企业及其他有关电力企业的生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。
根据电力行业信息系统的安全责任单位和信息系统类别,分等级确定电力二次系统安全等级测评对象,图形化表示如图1所示。[2][1]
3.项目干系人模型
从项目管理角度分析,针对电力二次系统的安全等级测评项目具有临时性、独特性和渐进明细三大特点。项目干系人管理是项目成功的关键点。项目关系人管理的主要意义体现在有助于赢得更多的资源,通过项目干系人管理,能够得到更多有影响力的干系人的支持;有助于通过快速频繁的沟通确保对项目干系人需要、希望和期望的完全理解;有助于预测项目干系人对项目的影响,尽早进行沟通和制定相应的行动计划,以免受到项目干系人的干扰。
图1电力二次系统安全等级测评对象确定图形化表示
从安全等级保护的角度来看,干系人包括国家管理部门,主要是省、市公安机关,负责信息安全等级保护工作的监督、检查、指导,主要包括受理备案和进行备案审核,会同行业管理部门联合开展检查工作;行业管理部门,具体是国家电力监管委员会及其派出机构,负责电力行业信息安全等级保护工作的督促、检查、指导,主要包括电力行业信息安全等级保护定级审批和开展安全检查;信息系统运行使用单位,具体是供电企业、发电企业或其所属机构或部门(可确定为信息系统安全责任单位),负责依照国家信息安全等级保护的管理规范和技术标准开展信息安全等级保护工作,包括自主定级、备案、整改建设、聘请等级测评机构进行安全测评,定期自查;安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;信息安全服务机构,负责根据信息系统运营、使用单位的委托,提供相关服务,协助信息系统运营、使用单位完成等级保护的相关工作;信息安全产品供应商负责开发符合等级保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。
干系人关系模型如图2所示。
图2电力二次系统安全等级测评干系人关系模型
4.电力二次系统测评标准模型及测评指标体系
4.1 测评标准模型
等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程。安全等级测评过程
[3]
包括单项测评、单元测评、整体测评和风险分析。安全等级测评主要依据《信息系统安全
等级保护测评要求》等技术标准。
电力二次系统具有实时运行控制的特点,具有“安全分区、网络专用、横向隔离、纵向认证”的特殊防护要求,针对电力二次系统开展安全等级测评,必须结合行业特殊要求,将行业要求《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》与等级保护国家标准要求整合。
电力二次系统测评标准模型如图3所示。
图3电力二次系统测评标准模型
4.2测评指标体系
信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。基本安全要求[4]是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
电力二次系统安全防护规定是为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,要求建立电力二次系统安全防护体系,保障电力系统的安全稳定运行。防护规定从技术措施和安全管理两个方面,重点对安全分区、网络专用、横向隔离、纵向认证几个层面提出。
建立电力二次系统测评指标体系,以保证电力二次系统具备相应安全等级要求的安全保护能力为出发点,以同时满足国标基线要求和行业特殊要求为原则,通过比较分析、归纳整理,选择二次防护规定要求中提出的国标基线要求未包括和高于国标基线要求的要求,按照国标基线要求框架提出电力二次系统特殊要求。国标基线要求和电力二次特殊要求共同构成电力二次系统安全等级测评指标体系。
电力二次系统特殊要求指标见表1所示,其中仅列出安全分类、安全子类、测评项数,特殊指标描述项具体内容省略(属于行业敏感信息不能公开)。国标基线要求指标与被测信息系统安全保护等级(业务信息安全等级和系统服务安全等级)密切相关,根据具体情况选定,故本文中也略去。
[5]
表1电力二次系统特殊要求指标
安全分类
安全子类
安全分区原则 生产大区内部安全防护 业务系统分置于安全区 网络专用
网络安全
电力调度数据网安全防护措施 横向隔离 纵向认证 远程拨号访问 恶意代码防范 安全Web服务 生产大区内部安全防护
主机安全
设备的接入管理 远程拨号访问
应用安全
生产大区内部安全防护 安全文件网关
数据安全及备份恢复 安全管理制度 安全管理机构 系统建设管理 系统运维管理
线路加密措施 备份与容灾 安全管理制度 安全管理机构 相关人员的安全职责 工程实施的安全管理 设备和应用系统的接入管理 日常安全管理制度 联合防护和应急处理
指标合计
特殊要求描述
测评项数2 3 3 3 6 2 2 2 1 1 1 1 1 2 1 1 1 1 1 2 3 2 1 4 49
5.结束语
随着国家信息安全等级保护制度的进一步推进和电力行业信息安全等级保护工作的进一步落实,电力二次系统安全等级测评必将大量展开。本文在理论研究和实践验证的基础上,提出的项目干系人模型、电力二次系统测评标准模型和测评指标体系对于电力二次系统安全等级测评的开展势必具有较大意义。参考文献
[1] 《电力二次系统安全防护规定》(电监会5号令)
[2] 《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)[3] 《信息系统安全等级保护测评过程指南》
[4] GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
第五篇:移动测评结构化面试-第五套
校园招聘面试题
(每道题约2分钟)
1、请结合你对招聘岗位的理解,用2分钟左右的时间进行一个自我介绍。(考察综合分析、沟通表达)
2、近年来,随着电脑科技的发展,新闻摄影作品利用电脑合成技术造假的事件时有发生。你认为产生这种现象的原因有哪些?(考察综合分析)
3、为了完成某项工作,你需要另一个部门提供十分重要的资料,但该部门的人认为,为你的部门收集信息不是他们的工作内容,因此一直借故推脱。这时你会如何解决这个问题?(考察沟通协调)
4、请举一个你作为团队成员所遇到的最困难的事情,当时是怎样解决这个困难的,你在其中起到了什么作用?(考察团队合作)
5、有人说,责任有时候就意味着最大的付出。你是否有过这样的体会?请举具体事例说明。(考察责任心)
6、其它补充问题。
点击咨询 